Uudet vastaustoimet uusien työnkulkujen mahdollistamiseksi
Olemme lisänneet uusia vastaustoimintojen päätepisteitä kohtaan POST /response-actions/v1/execute/<name> laajentaa etätoteutusominaisuuksia sekä laitteiden että identiteetin hallintaan.
Näin voit automatisoida uusia työnkulkuja, jotka edellyttävät kohdelaitteisiin ja identiteetteihin kohdistuvaa toimintaa.
Tässä versiossa API tuettujen vastaustoimintojen määrä kasvaa 8:sta 32:een.
Laitteen vastatoimet
Seuraavat laitteen vastatoimet ovat käytettävissä:
- Luo täydellinen muistin tyhjennys - Lataa täydellisen muistin tyhjennyksen laitteesta.
- Poista rekisteriavain tai -arvo - Poistaa määritetyn Windowsin rekisteriavaimen tai -arvon.
- Poista ajastettu tehtävä - Poistaa määritetyn Windowsin ajastetun tehtävän
- Poista Windows-palvelu - Poistaa määritetyn Windows-palvelun
- Poista WMI-pysyvyysobjekteja - Poistaa Windows Management Instrumentation (WMI) - pysyvyysobjektit.
- Luettele käynnissä olevat prosessit - Luettelee laitteessa käynnissä olevat prosessit
- Luettele WMI:n pysyvyysmekanismit - Luettelee WMI:n pysyvyysmekanismit, mukaan lukien tapahtumien kuluttajat, suodattimet ja sidonnat.
- Luettelo tiedostojärjestelmän rakenteesta - Luettelee tiedostojärjestelmän rakenteen polkujen täsmäytysmallien perusteella.
- Luettelo rekisteriavaimista ja -arvoista - Luettelee Windowsin rekisteriavaimet ja -arvot polkujen vastaavuusmallien perusteella.
- Luettelo ajastetuista tehtävistä - Luettelo kaikista laitteen ajastetuista Windows-tehtävistä
- Hae amcache-tiedostot - Noudattaa sovellusten yhteensopivuusvälimuistitiedoston laitteesta.
- Hae virustorjuntalokit - Noudattaa virustorjuntaohjelmiston lokitiedostot tietoturva-analyysia varten.
- Selaimen artefaktien hakeminen - Noudattaa selainhistorian laitteesta
- Hae tapahtumalokin jäljitystiedostot - Noudattaa .etl-tapahtumalokin jäljitystiedostot, joissa on tietoja järjestelmän toiminnoista.
- Tiedostojen hakeminen laitteesta - Noudattaa tiedostoja laitteesta polkujen vastaavuusmallien perusteella.
- Hae hyppylistatiedostot - Noudattaa AutomaticDestinations- ja CustomDestinations-alikansioihin tallennetut hyppylistat.
- Hae pääkäynnistystietue - Noudattaa MBR-tietueen (Master Boot Record) määritetystä asemasta.
- Hae päätiedostotaulukko - Noudattaa master file table (MFT) -taulukon määritetystä asemasta.
- Hae verkkoyhteydet - Noudattaa verkkoyhteyksiä, reititystaulukoita, rajapintatilastoja ja niihin liittyviä prosessitietoja.
- Hae prefetch-tiedostot - Noutaa Windowsin esihakutiedostot, joissa on todisteita ohjelman suorittamisesta.
- Hae prosessin muistitiedosto - Noudattaa tietyn prosessin muistitiedostotiedoston
- RDP:n välimuistitiedostojen haku - Noudattaa RDP:n (Remote Desktop Protocol) bittikarttojen välimuistitiedostoja.
- Hae viimeksi käytetyt tiedostot - Hakee tietoja viimeksi käytetyistä tiedostoista ja kansioista käyttäjän toiminnan artefakteista.
- Hae rekisterin pesätiedostot - Noutaa Windowsin rekisterin pesätiedostot
- SRUM-tietokannan haku - Noudattaa SRUM-tietokannan (System Resource usage monitor).
- Windows-tapahtumalokin merkintöjen hakeminen - Noudattaa Windowsin tapahtumalokimerkintöjä määritettyjen suodattimien perusteella.
- Windows-tapahtumalokitiedostojen hakeminen - Noutaa Windowsin tapahtumalokitiedostot
- Lopeta prosessi - Lopettaa prosessit, jotka vastaavat määritettyjä malleja
- Lopeta lanka - Lopettaa säikeen
Identiteetin vastatoimet
Seuraavat identiteettivastetoiminnot ovat käytettävissä Microsoft Entra -ohjelmassa:
- Käyttäjän pääsyn estäminen Microsoft Entra - Estää käyttäjän pääsyn kaikkiin Microsoft Entra -ekosysteemin resursseihin.
- Microsoft Entra -istunnon lopettaminen - Lopettaa käyttäjän Microsoft Entra -istunnon.
- Microsoft Entra -salasanan palauttaminen - Nollaa käyttäjän Microsoft Entra -salasanan.
Vastaustoimien tulokset ja liitteet
Vastaustoimintoja käsitellään asynkronisesti: kun ne on käynnistetty, voit seurata niiden edistymistä.Uusi päätepiste on käytettävissä sellaisten vastaustoimintojen varsinaisten tulosten hakemiseen, jotka palauttavat dataa (esimerkiksi muistitiedostoja tai muita tiedostoja):
GET /response-actions/v1/responses/tasks
Tätä päätepistettä käyttämällä voit ladata kaikki valmiiden vastaustoimien tuottamat tiedostot tai liitetiedostot. Määrittääksesi, milloin toiminto on päättynyt, kysy ensin tilaa käyttämällä GET /response-actions/v1/responses. Kun toiminto on merkitty valmiiksi, liitetiedostot ovat valmiina ladattavaksi tehtävien päätepisteestä.
Aloita rakentaminen
Täydellinen API -dokumentaatio on saatavilla osoitteessa
https://connect.withsecure.com/api-reference/elements/